那些遇到过的问题

将 API Keys 和 .env 文件提交到私有企业存储库是否可以接受?

Mat*_*ber 6 git security github environment-variables

我进行了搜索,令人惊讶的是没有找到答案。现在,我们不会将 API Keys/.env文件提交到一个不断增长的 4 人团队正在开发的存储库中。每当我们更改某些内容时,例如数据库密码,我们都会通过 Slack 将其发送给彼此。

考虑到我们的 repo 是私有的,不可分叉,并且只有员工可以访问,这似乎毫无意义。

我能看到这种情况出错的唯一方法是:

  1. 员工不小心公开发布了回购协议。尽管这无论如何都会是一场灾难,因为我们的整个代码库都是公开的,所以我看不出更改密钥和密码将如何成为我们最关心的问题。
  2. 员工帐户被盗。见上文^(我们也强制执行 MFA 作为一种安慰)。
  3. GitHub 本身遭到破坏,这又是我们(以及大多数软件公司)面临的更大问题。
  4. 在此处插入模糊的微软阴谋

我们是否有理由继续这种做法,或者我们可以提交我们的.env文件吗?

Mat*_*ber 0

我们现在使用ENVKEY来解决这个问题。

归档时间:

查看次数:

1309 次

最近记录:

5 年,1 月 前
相关归档
在Xcode 9上切换分支 89
ASP.Net MVC的AntiForgeryToken方法是否可以与负载均衡器配合使用? 17
如何在远程端存储库中'git blame'? 14
Github页面上的Flask应用程序 10
enableServiceLinks=false 不会禁用 Kubernetes clusterIP 默认服务环境变量注入到 pod 中 7
localhost的IP地址:8080-github + jenkins的webhooks 5
通过CodeIgniter/PHP从我的表单中收集$ _POST输入的"正确"方法是什么? 4
不能在bash中使用while和pipe中的变量 3
制作无法卸载/删除的Android应用程序 3
如何防止来自 Go 编写的 HTTP 服务器的 DDoS 攻击? 1
难疑归档
将本地存储库分支重置为远程存储库HEAD 3488
如何在Python中延迟时间? 2638
有没有办法在Android上运行Python? 2097
自制安装特定版本的公式? 2072
如何将包含历史记录的SVN存储库迁移到新的Git存储库? 1486
在Python中反转一个字符串 1288
SOAP与REST(差异) 1206
在Python中检查类型的规范方法是什么? 1171
获取对象类型的名称 1159
如何在JavaScript中将浮点数转换为整数? 1043